Dell Unity: NAS-server rapporterte at domenekontrollerservere ikke kan nås (kan korrigeres av brukeren)
Podsumowanie: Kunden mottar varsel på NAS-server som rapporterer at domenekontrolleren ikke kan nås når én eller flere konfigurerte domenekontrollere er RODC (skrivebeskyttet domenekontroller)
Ten artykuł dotyczy
Ten artykuł nie dotyczy
Ten artykuł nie jest powiązany z żadnym konkretnym produktem.
Nie wszystkie wersje produktu zostały zidentyfikowane w tym artykule.
Objawy
NAS-serveren rapporterte periodisk advarsel som sier at domenekontrollerne ikke kan nås.
Kommandoen svc_cifssupport -pingdc viser DC NETLOGON-feil og DOWNGRADE_DETECTED
Kommandoen svc_cifssupport -pingdc viser DC NETLOGON-feil og DOWNGRADE_DETECTED
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab Error 13160939576: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016' because of NT errors (SUCCESS) at step Request Domain Sid. Details of the issue: origin=9000, '' DC='DC NETLOGON pipe failure'/'DOWNGRADE_DETECTED' This issue may prevent user authentication to this domain. Error 13160939579: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016'. Failed to access the pipe NETLOGON at step Open NETLOGON Secure Channel: Action failed with status=DOWNGRADE_DETECTED
Przyczyna
Domenekontrolleren som NAS-serveren ikke kan koble til, er en RODC (skrivebeskyttet domenekontroller).
RODC lagrer bare bruker- og datamaskinpassord basert på policyen for replikering av passord. Bare passord for kontoene som er i Tillat-gruppene, og ikke i Deny-gruppene, kan replikeres til RODC.
Etter at NAS-serveren er koblet til domenet, lagres datamaskinkontoen og passordet i den wirteable domenekontrolleren, og som standard blir de ikke replikert til RODC.
Så når NAS-serveren prøver å etablere den sikre kanalen til RODC, har ikke RODC datamaskinpassordet til NAS-serveren, og dermed vil den returnere «STATUS_NO_TRUST_SAM_ACCOUNT» og «DOWNGRADE_DETECTED»
RODC lagrer bare bruker- og datamaskinpassord basert på policyen for replikering av passord. Bare passord for kontoene som er i Tillat-gruppene, og ikke i Deny-gruppene, kan replikeres til RODC.
Etter at NAS-serveren er koblet til domenet, lagres datamaskinkontoen og passordet i den wirteable domenekontrolleren, og som standard blir de ikke replikert til RODC.
Så når NAS-serveren prøver å etablere den sikre kanalen til RODC, har ikke RODC datamaskinpassordet til NAS-serveren, og dermed vil den returnere «STATUS_NO_TRUST_SAM_ACCOUNT» og «DOWNGRADE_DETECTED»
Rozwiązanie
For å løse problemet må kunden legge til NAS-serverens datamaskinkonto i RODCs policy for passordreplikering, slik at NAS-serverens kontopassord kan replikeres til RODC.
1. Logg på den skrivbare domenekontrolleren.
2. Åpne active directory Usrs and Computers
3. Gå til OU 4 for domenekontrollere
. Velg RODC du trenger for å konfigurere «Passowrd replication Policy» (Bestått replikeringspolicy), og klikk på egenskapene.
5. Gå til fanen "Passordreplikeringspolicy", og legg til NAS-serverens datamaskinkonto i ALLOW-gruppen.
Nå kjører du pingdc-kommandoen på nytt. Denne gangen fullføres pingdc uten feil.
1. Logg på den skrivbare domenekontrolleren.
2. Åpne active directory Usrs and Computers
3. Gå til OU 4 for domenekontrollere
. Velg RODC du trenger for å konfigurere «Passowrd replication Policy» (Bestått replikeringspolicy), og klikk på egenskapene.
5. Gå til fanen "Passordreplikeringspolicy", og legg til NAS-serverens datamaskinkonto i ALLOW-gruppen.
Nå kjører du pingdc-kommandoen på nytt. Denne gangen fullføres pingdc uten feil.
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab
Dodatkowe informacje
Referanse:
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
Produkty, których dotyczy problem
Dell EMC UnityWłaściwości artykułu
Numer artykułu: 000204287
Typ artykułu: Solution
Ostatnia modyfikacja: 14 mar 2023
Wersja: 3
Znajdź odpowiedzi na swoje pytania u innych użytkowników produktów Dell
Usługi pomocy technicznej
Sprawdź, czy Twoje urządzenie jest objęte usługą pomocy technicznej.